ESET araştırmacıları, Google’ın Gemini modelini kullanarak farklı cihazlarda kalıcılığını sürdürmeye çalışan ilk bilinen Android zararlı yazılımını keşfetti. “PromptSpy” adı verilen bu yeni zararlı yazılım ailesi, Android cihazlarında potansiyel bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Makine öğrenimi modelleri, Android zararlı yazılımlarının daha önce ekran görüntülerini analiz edip reklam dolandırıcılığı için kullanıldığı biliniyor. Ancak, PromptSpy, Android zararlı yazılımlarının doğrudan yürütme sürecine generative AI entegre eden ilk bilinen örneğidir.
Android cihazlarında kullanıcılar, bir uygulamayı “kilitleyerek” veya “sabitleyerek” son uygulamalar listesine ekleyebilir. Bu yöntem, zararlı yazılımın kalıcılık sağlamasına yardımcı olur. PromptSpy, Google’ın Gemini modeline bir sohbet yönlendirmesi göndererek ve mevcut ekranın XML dökümünü ileterek etkili bir şekilde işletmesini sürdürür:
- Görünen UI öğeleri
- Metin etiketleri
- Sınıf türleri
- Ekran koordinatları
Gemini, uygulamanın sabitlenmesini sağlamak için talimatlar içeren JSON formatında cevap verir. Zararlı yazılım, Android’in Erişim Hizmeti aracılığıyla bu talimatları uygulayarak işlemi döngüsel bir şekilde gerçekleştirir.
Etkilenen Sistemler
PromptSpy, Android cihazlarına yönelik hedef alan bir spyware olarak tasarlanmıştır ve aşağıdaki yeteneklere sahiptir:
- Yüklenmiş uygulamaların listesini yükleyebilir
- Kilitleme PIN’lerini veya parolaları kesebilir
- Desen kilidini video olarak kaydedebilir
- Talep üzerine ekran görüntüsü alabilir
- Ekran aktivitelerini ve kullanıcı hareketlerini kaydedebilir
- Mevcut ön plan uygulaması ve ekran durumunu raporlayabilir
Ayrıca, kullanıcılar uygulamayı kaldırmaya çalıştığında, zararlı yazılım UI butonlarının üzerini şeffaf, görünmez dikdörtgenlerle kaplar, bu da kaldırma eylemlerini engeller.
Çözüm ve Korunma
ESET, kullanıcıların Android Güvenli Moduna yeniden başlatarak üçüncü taraf uygulamaları devre dışı bırakmaları gerektiğini ve bu şekilde zararlı yazılımı kaldırmayı denemeleri gerektiğini belirtiyor. PromptSpy veya onun yükleyicisi henüz ESET’in telemetrisinde gözlemlenmediğinden, bu yazılımın bir “proof-of-concept” olup olmadığı belirsizdir. Ancak, ESET, birçok örneğin mgardownload[.]com alan adı aracılığıyla dağıtıldığını ve JPMorgan Chase Bank gibi sahte web siteleri kullandığını bildirmektedir.
Bu durum, zararlı yazılımın yalnızca bir deneyim örneği olabileceğini gösterse de, gerçek dünya saldırılarında kullanılma potansiyelini göz ardı etmeyi zorlaştırıyor.
Sonuç
Okuyucuların, Android cihazlarının güvenliğini sağlamak için güncellemeleri kontrol etmeleri, gerekli portları kapatmaları ve güvenilir olmayan kaynaklardan uygulama indirmekten kaçınmaları önerilmektedir. Özellikle zararlı yazılımların erişim izinlerini kısıtlamak, zararlı etkinliklerden korunmada etkili bir önlem olacaktır.
